A.
KONSEP AUDIT
Membangun
Efektif 1 Fungsi Audit Internal
Dalam bab ini kita akan membahas tujuan
departemen audit internal, yaitu:
·
Misi
sebenarnya departemen audit
·
Konsep
kebebasan dan cara menghindari penyalahgunaan itu
·
Bagaimana
menambahkan nilai di luar audit formal melalui konsultasi dan keterlibatan awal
·
Bagaimana
meningkatkan efektivitas dengan membangun hubungan
·
Peran
audit teknologi informasi (TI) dan bagaimana memilih fokus yang benar
·
Bagaimana
membangun dan memelihara tim audit TI yang efektif
Meskipun bab pertama ini
ditulis dari auditor internal Perspektif, konsep dan filosofi yang disajikan di
sini dapat disesuaikan untuk memberi fungsi audit eksternal juga. Pada
dasarnya adalah auditor eksternal internal / eksternal.
Sebagian besar
departemen audit dibentuk oleh komite audit perusahaan (subset dari PT dewan
direksi) untuk memberi panitia jaminan independen bahwa internal kontrol berada
di tempat dan berfungsi secara efektif. Dengan kata lain, komite audit
menginginkan sebuah kelompok obyektif yang akan menceritakan apa yang
sebenarnya "terjadi" di perusahaan tersebut. Hal ini penting bagi
panitia untuk berfungsi dan melayani perusahaan pemegang saham. Selain itu,
sebagian besar departemen audit perusahaan juga melapor ke eksekutif di dalam
perusahaan, seperti chief executive officer (CEO) atau chief financial petugas
(CFO).
Hanya masalah pelaporan yang tidak menghasilkan
apa-apa, kecuali membuat orang terlihat buruk mereka dipecat, dan menimbulkan
kebencian terhadap auditor. Nilai sebenarnya muncul saat isu ditangani dan
masalah dipecahkan.
Dengan kata lain, melaporkan masalah tersebut
adalah sarana untuk akhir. Dalam konteks ini, hasil akhirnya memperbaiki
keadaan pengendalian internal di perusahaan. Melaporkannya menyediakan
mekanisme dimana isu-isu tersebut terungkap dan karena itu dapat menerima
sumber daya dan perhatian yang dibutuhkan untuk memperbaikinya.
Singkatnya,
misi departemen audit internal ada dua:
·
Memberikan jaminan independen kepada komite
audit (dan senior manajemen) bahwa pengendalian internal berada di tempat di
perusahaan dan berfungsi secara efektif.
·
Untuk memperbaiki keadaan pengendalian internal
di perusahaan dengan mempromosikan pengendalian internal dan dengan membantu
perusahaan mengidentifikasi kelemahan pengendalian dan mengembangkan solusi
hemat biaya untuk mengatasi kelemahan tersebut. Bagian selanjutnya dari bab ini
akan membahas bagaimana misi ini dapat dicapai paling banyak efektif, khusus
untuk fungsi audit TI.
Jika
auditor TI berencana untuk pindah ke organisasi TI, Harus jelas sekarang bahwa
departemen audit internal tidak benar-benar independen. Namun demikian, konsep
inti dibalik peran auditor independen itu valid dan penting. Auditor tidak
boleh merasakan tekanan yang tidak semestinya untuk mengubur isu dan harus
percaya bahwa dia akan diizinkan untuk "melakukan hal yang benar”. Tampaknya tujuan itu mungkin kata yang lebih tepat daripada saat
independen menggambarkan perilaku auditor internal. Objektivitas mengharuskan
auditor bersikap tidak biasa dan bahwa dia tidak terpengaruh oleh perasaan atau
prasangka pribadi. Meskipun auditor internal, menurut definisinya, tidak
benar-benar independen.
Konsultasi dan Keterlibatan Awal ada lebih untuk menjadi
auditor daripada audit. Meski melakukan audit formal tersebut fungsi kritis dan
penting dari departemen audit, biaya mengoreksi masalah dan menambahkan kontrol
pasca implementasi secara signifikan lebih tinggi daripada biaya melakukan itu
benar pertama kalinya Dari segi independensi, tidak ada perbedaan antara
penyediaan penilaian sistem atau solusi sebelum pelaksanaan dan penilaian
setelah implementasi. Ada perbedaan, bagaimanapun, seberapa besar nilai auditor
adalah menambah perusahaan.
Banyak auditor menggunakan independensi sebagai alasan untuk
tidak menambah nilai dan bukan untuk memberikan pendapat bisa mandiri dan tetap
bekerja berdampingan dengan rekan kerja untuk membantu mereka saat mereka
mengembangkan solusi untuk masalah pengendalian internal. Menjadi independen
tidak berarti tidak dapat memberikan penilaian terhadap kontrol dalam sistem
sebelum penempatan. Berkali-kali, akan melihat audit internal departemen yang
menolak memberikan bimbingan dan masukan kepada tim yang sedang berkembang
sistem atau proses baru Mereka mengatakan bahwa mereka tidak dapat memberikan
masukan tentang kontrol di dalamnya sistem karena untuk melakukannya berarti
mereka tidak lagi mandiri.
Empat Metode untuk Konsultasi dan BAGIAN I
Keterlibatan awal Sekarang kita sudah menetapkan bahwa tidak
apa-apa untuk berbicara dengan rekan kerja Anda tentang internal Kontrol bahkan
saat Anda tidak mengauditnya, mari kita bicarakan beberapa cara terbaik untuk
melakukan ini. Kami akan membahas empat metode untuk mempromosikan pengendalian
internal di perusahaan di luar audit formal :
·
Keterlibatan awal
Setiap perusahaan manufaktur akan memberi tahu
Anda bahwa lebih murah untuk membangun kualitas menjadi produk daripada mencoba
menambahkannya setelah kejadian. Kontrol internal adalah cara yang sama:
Setelah membuat sebuah sistem, mengujinya, dan menerapkannya, jauh lebih mahal
untuk kembali dan ubah saja jika telah melakukannya dengan benar pada kali
pertama. Sebagai auditor, juga banyak lebih mungkin untuk menghadapi resistensi
setelah implementasi. Semua orang telah pindah proyek lain, dan tidak satupun
dari mereka termotivasi untuk kembali dan melakukan perubahan yang selesai
proyek. Di sisi lain, jika Anda bisa memberikan persyaratan pengendalian
internal
Pada
awal proses, mereka menjadi bagian lain dari ruang lingkup proyek kepada
pelaksana, dan mereka tidak terlalu memikirkannya (asalkan persyaratan
pengendaliannya adalah masuk akal). Bagaimana melakukannya berbeda dengan
perusahaan, tapi setiap perusahaan harus memilikinya semacam persetujuan proyek
atau proses review. Berbagai tahapan sebuah proyek sebelum bisa
diimplementasikan, mintalah untuk menjadi bagian dari sign-off kelompok. Hanya
jelaskan bahwa peran Anda adalah memberi masukan pada pengendalian internal
sistem atau teknologi dan tidak ada yang lain. Tentu saja ada kemungkinan Anda
akan membuat kesalahan dan menandatangani proyek; Meskipun sistem memiliki
kelemahan pengendalian internal.
·
Audit informal
Salah satu masalah yang dihadapi hampir setiap
departemen di hampir setiap perusahaan adalah sumber daya kendala. Tidak pernah
ada cukup waktu untuk melakukan semua hal yang ingin dilakukan, dan sebagian
besar departemen tidak punya waktu untuk mengatasi semua risiko di luar sana.
Selalu ada permintaan untuk audit yang tidak dapat dipenuhi. Sadarilah bahwa
jika audit harus menyeluruh, pasti memilikinya waktu untuk mengaudit hanya
segelintir daerah setiap tahun. menjadi usaha besar yang tidak perlu. Audit
informal adalah mekanisme untuk digunakan.
Membahas
proses potensial untuk membentuk rencana audit Anda (yaitu daftarnya audit yang
akan dilakukan).
Proses
evaluasi risiko yang membantu menyusun rencana audit setiap tahun. Bahkan
dengan rencana akan melihat dua celah utama dalam apa yang bisa diliput:
-
Jika
prosesnya berbasis risiko, Anda tidak akan pernah sampai ke beberapa daerah.
-
Kadang-kadang
manajemen meminta audit (setelah Anda mengembangkan hak
Apresiasi yang ditunjukkan oleh orang yang Anda
diaudit. Anda juga akan kagum pada berapa banyak auditor dapat melakukannya
dalam waktu singkat ketika dilepaskan dari belenggu dari proses audit normal
(yang penting untuk audit formal). Tentu saja, penting juga untuk menambahkan
peringatan pada pekerjaan dan hasilnya. Membuat yakin bahwa orang yang Anda
informasikan secara informal mengerti bahwa ini tidak akan seperti adanya
teliti sebagai audit formal, bahwa Anda tidak mengklaim bahwa Anda akan
menemukan semua masalah dan bahwa Anda tidak menguji sampel statistik.
Langkah-langkah dasar proses audit:
1.
Bagian audit harus menyetujui waktu dan ruang
lingkup informal tinjau ulang dengan orang-orang yang akan diaudit.
2.
Auditor yang akan melakukan review harus
membuat daftar periksa dasar dari area yang akan diperiksa. (Daftar periksa di
seluruh buku ini berikan titik awal yang bagus.)
3.
Auditor menjalankan langkah-langkah tersebut,
menyimpan catatan sesuai kebutuhan namun tidak menciptakannya kertas kerja
untuk ditinjau Catatan tidak perlu disimpan setelah audit lengkap
4.
Pada akhir proyek, auditor mengumpulkan semua
masalah dari tinjauan.
5.
Auditor mengadakan rapat briefing dengan
orang-orang yang diaudit diskusikan isu dan konsultasikan tentang seberapa
serius isu dan potensinya berarti untuk mengatasinya
6.
Auditor mendokumentasikan daftar akhir masalah,
beserta pemikiran yang relevan untuk menyelesaikannya, dalam sebuah memo. Memo
ini tidak perlu disertakan tanggal dan bisa termasuk peringatan yang disebutkan
sebelumnya (misalnya, ini tidak audit formal, kami tidak akan melacak masalah,
dan sebagainya). Memo itu juga harus menunjukkan kesediaan auditor untuk terus
berkonsultasi dengan tim karena menangani item ini.
7.
Auditor mengeluarkan memo dan arsipnya secara
elektronik untuk referensi di kemudian hari.
·
Berbagi pengetahuan
Sebagai auditor internal, harus memiliki
perpaduan unik antara pengetahuan perusahaan dan keahlian dalam kontrol
internal Bagian audit internal harus kreatif dalam menemukan cara baru untuk
berbagi pengetahuan unik dengan seluruh perusahaan. Tentu saja banyak dari
berbagi pengetahuan harus terjadi saat kita melakukan audit, saat kita
melakukan konsultasi ulasan, dan saat kita memberikan masukan sebagai bagian
dari aktivitas keterlibatan awal kita.
·
Penilaian diri
Untuk teknologi umum dan topik, meskipun,
sangat membantu untuk memberikan panduan kontrol menggambarkan hal-hal yang
biasanya Anda tinjau selama audit.
B. Proses
Audit
Dalam bab ini, kita akan membahas
tahap dasar proses audit, bagaimana cara melakukan masing-masing satu secara
efektif, dan berikut ini:
·
Berbagai
jenis kontrol internal
·
Bagaimana
Anda harus memilih apa yang harus di audit
·
Bagaimana
melakukan tahap dasar audit
·
Perencanaan
·
Kerja
lapangan dan dokumentasi
·
Mengeluarkan
penemuan dan validasi masalah
·
Solusi
pengembangan
·
Melaporkan
penyusunan dan penerbitan
·
Pelacakan
masalah
Kontrol
Internal
Kontrol internal, dinyatakan
dalam istilah yang paling sederhana, adalah mekanisme yang memastikan tepat
berfungsinya proses dalam perusahaan. Setiap sistem dan proses dalam perusahaan
ada untuk beberapa tujuan bisnis tertentu. Auditor harus mencari keberadaannya
risiko terhadap tujuan tersebut dan kemudian memastikan bahwa pengendalian
internal diterapkan untuk mengurangi risiko tersebut.
Jenis Pengendalian Internal
Kontrol bisa bersifat
preventif, detektif, atau reaktif, dan bisa bersifat administratif, teknis, dan
implementasi fisik. Contoh implementasi administratif termasuk item seperti
kebijakan dan proses. Implementasi teknis adalah alatnya dan perangkat lunak
yang secara logis menerapkan kontrol (seperti kata sandi).
Kontrol
Pencegahan
Kontrol pencegahan
menghentikan kejadian buruk terjadi. Misalnya, membutuhkan user ID dan password
untuk akses ke sistem adalah kontrol preventif. Ini mencegah (secara teoritis)
orang yang tidak berhak mengakses sistem Dari sudut pandang teoritis, preventif
kontrol selalu disukai, untuk alasan yang jelas. Namun, saat Anda tampil audit,
ingat bahwa kontrol preventif tidak selalu merupakan biaya yang paling efektif
solusi, dan jenis kontrol lainnya mungkin lebih masuk akal dari sudut pandang
biaya / manfaat.
Kontrol
Detektif
Kontrol detektif merekam
kejadian buruk setelah kejadian itu terjadi. Misalnya, logging semua kegiatan
yang dilakukan pada sistem akan memungkinkan Anda untuk meninjau log untuk
mencari yang tidak sesuai kegiatan setelah acara.
Kontrol
Reaktif (alias Kontrol Korektif)
Kontrol reaktif turun antara
kontrol preventif dan detektif. Mereka tidak mencegah Kejadian buruk terjadi,
namun memberikan cara sistematis untuk mendeteksi kapan mereka yang buruk
peristiwa telah terjadi dan memperbaiki situasi, itulah sebabnya mereka
terkadang dipanggil kontrol korektif
misalnya, Anda mungkin memiliki sistem antivirus pusat yang dapat
mendeteksi
Contoh Pengendalian Internal
Misalnya, Anda meninjau sistem
piutang perusahaan Anda. Sistem itu ada untuk memastikan bahwa Anda melacak
siapa yang berutang uang perusahaan Anda sehingga Anda bisa mengomel deadbeats
yang tidak membayar Anda, dan sehingga Anda benar merekam pembayaran dari
mereka yang melakukannya Auditor keuangan akan mengkhawatirkan risiko di dalam
proses piutang sendiri, namun auditor TI perlu memikirkan risikonya sistem yang
mencapai tujuan bisnisnya.
Berikut adalah
beberapa contoh dasar yang dimaksudkan untuk menggambarkan konsep tersebut.
Kontrol internal Auditor harus memahami tujuan bisnis dari apa yang dia atau
dia sedang mengaudit, memikirkan risiko untuk mencapai tujuan itu, dan kemudian
mengidentifikasi kontrol internal yang ada yang mengurangi risiko tersebut.
Kontrol
Perubahan Perangkat Lunak
Jika perubahan pada kode
sistem itu sendiri tidak disetujui dan diuji dengan benar, Anda mungkin
menemukan bahwa logika yang dieksekusi oleh kode itu keliru. Ini mungkin
berarti Anda kehilangan kepercayaan diri Anda terhadap integritas data di dalam
sistem, yang mengakibatkan ketidakmampuan untuk mengetahui dengan pasti siapa
yang telah membayar perusahaan Anda dan siapa yang tidak. Jadi apa saja
beberapa kontrol internal yang akan mengurangi risiko ini?
·
Jangan
biarkan akses logis pemrogram untuk memperbarui kode produksi.
·
Orang
yang memiliki akses logis untuk memperbarui kode produksi mungkin tidak
melakukannya jadi tanpa bukti pengujian dan persetujuan.
Kontrol
Akses
Jika akses ke sistem diberikan kepada
orang-orang yang tidak memiliki kebutuhan akan akses tersebut, data sistem bisa
diubah, ditambah, atau dihapus secara tidak tepat. Apa saja beberapa kontrol
internal yang akan mengurangi risiko ini?
·
Mengharuskan
user ID dan password untuk mengakses sistem.
·
Memiliki
sejumlah administrator keamanan aplikasi yang mengendalikan kemampuan untuk
menambahkan akun pengguna baru ke sistem.
·
Pastikan
administrator keamanan aplikasi mengetahui individu yang tahu pengguna mana
yang benar-benar membutuhkan akses ke sistem.
Fungsi
TI terpusat
Pertama, tentukan fungsi TI apa yang
terpusat, dan letakkan masing-masing fungsi terpusat pada daftar audit TI potensial
Anda (lihat Tabel 2-1). Misalnya, jika fungsi pusat mengelola lingkungan server
Unix dan Linux Anda, salah satu audit potensial Anda mungkin merupakan tinjauan
pengelolaan lingkungan itu. Ini bisa mencakup proses administrasi seperti
manajemen akun, manajemen perubahan, manajemen masalah, manajemen patch,
pemantauan keamanan, dan proses lainnya yang akan berlaku untuk keseluruhan
lingkungan.
Fungsi
TI yang terdesentralisasi
Setelah membuat daftar semua proses TI
terpusat perusahaan, Anda dapat menentukan keseluruhan jagad audit Anda.
Mungkin Anda bisa membuat satu potensi audit per lokasi perusahaan. Audit ini
dapat terdiri dari peninjauan kembali kontrol TI terdesentralisasi yang
dimiliki oleh masing-masing lokasi, seperti keamanan fisik data center dan
pengendalian lingkungan. Dukungan server dan PC juga mungkin terdesentralisasi
di perusahaan Anda. Kuncinya adalah memahami kontrol TI yang dimiliki di
tingkat situs dan mengulasnya. Mungkin perlu lebih terperinci dari ini dan
memiliki banyak audit potensial di setiap lokasi. Semuanya tergantung pada
kompleksitas lingkungan, hirarki organisasi, dan tingkat kepegawaian Anda. Anda
harus menentukan apa yang paling efektif di lingkungan Anda.
Aplikasi
bisnis
Anda juga bisa membuat potensi audit
untuk setiap aplikasi bisnis. Anda harus melakukannya tentukan apakah lebih
efektif melakukan audit ini di audit IT universe atau di alam audit finansial.
Dalam banyak hal, sangat masuk akal jika audit ini didorong oleh auditor
keuangan, yang mungkin berada pada posisi terbaik untuk menentukan kapan
saatnya melakukan audit terhadap proses pengadaan. Jika mereka membuat
keputusan itu, mereka dapat meminta Anda untuk menentukan aspek sistem yang
relevan yang harus disertakan dalam audit pengadaan (seperti peninjauan server
tempat aplikasi pengadaan berada, kontrol perubahan perangkat lunak sistem,
pemulihan bencana sistem rencana, dan sebagainya).
Kepatuhan
terhadap peraturan
Bergantung pada layanan atau barang
yang disediakan bisnis Anda, Anda mungkin bertanggung jawab untuk memastikan
kepatuhan terhadap peraturan tertentu. Contoh umum termasuk kepatuhan auditing
dengan peraturan Sarbanes-Oxley, Peraturan Portabilitas dan Akuntabilitas
Asuransi Kesehatan (HIPPA), dan peraturan dan standar Industri Kartu Pembayaran
(PCI). Anda mungkin memiliki audit terpisah di alam audit Anda untuk menguji
kepatuhan terhadap setiap peraturan yang relevan.
Tahapan
Audit
Setelah
memahami proses memilih apa yang harus di audit, Dalam bahasan ini berbagai tahap untuk melaksanakan setiap audit
dalam rencana audit. Kita akan membahas enam fase audit utama berikut :
1.
Perencanaan
2.
Kerja
lapangan dan dokumentasi
3.
Terbitkan
penemuan dan validasi
4.
Solusi
pengembangan
5.
Melaporkan
penyusunan dan penerbitan
6.
Pelacakan
masalah
Planning
Sebelum mulai mengerjakan audit, harus
menentukan apa yang akan tinjau. Jika Proses perencanaan dilaksanakan secara
efektif, maka tim audit akan sukses. Sebaliknya, jika dilakukan dengan buruk
dan pekerjaan dimulai tanpa rencana dan tanpa jelas arah, upaya tim audit bisa
berakibat pada kegagalan.
Tujuan dari
proses perencanaan adalah untuk menentukan tujuan dan ruang lingkup audit.
Perlu menentukan apa yang ingin Anda capai dengan ulasannya. Sebagai bagian
dari proses ini, harus mengembangkan serangkaian langkah yang harus dijalankan
untuk mencapai tujuan audit. Proses perencanaan ini memerlukan penelitian,
pemikiran, dan pertimbangan yang cermat untuk setiap audit. Berikut adalah
beberapa sumber dasar yang harus dirujuk sebagai bagian dari setiap proses perencanaan
audit:
·
Hand-off
dari manajer audit
·
Survei
pendahuluan
·
Permintaan
pelanggan
·
Daftar
periksa standar
·
Penelitian
Hand-off
dari Manajer Audit
Jika audit termasuk dalam rencana
audit, pasti ada beberapa alasan. Manajer audit harus menyampaikan kepada tim
audit informasi tersebut yang menyebabkan audit dijadwalkan. Ini mungkin
termasuk komentar dari manajemen TI dan / atau masalah yang diketahui di
wilayah ini. Faktor-faktor yang menyebabkan audit dijadwalkan perlu dicakup
dalam rencana audit. Selain itu, manajer audit harus dapat memberikan tim audit
kontak kunci untuk audit tersebut.
Survei
Awal
Tim audit harus meluangkan waktu
sebelum setiap audit melakukan survei pendahuluan di wilayah tersebut untuk
diaudit untuk memahami apa yang akan dilakukan audit. Kemungkinan ini akan
mencakup wawancara dengan pelanggan audit untuk memahami fungsi sistem atau
proses yang sedang ditinjau, dan juga meninjau dokumentasi terkait. Tujuannya
adalah untuk mendapatkan latar belakang dasar dan pemahaman daerah yang akan ditinjau.
Hal ini diperlukan untuk melakukan penilaian awal terhadap risiko di daerah
tersebut.
Permintaan
Pelanggan
Bab 1 membahas pentingnya melakukan
audit akolaboratif, proses kooperatif. Sebagai bagian dari pencapaian tujuan
ini, pelanggan audit harus merasa memiliki beberapa kepemilikan dalam audit.
Tim audit harus menanyakan kepada pelanggan area mana yang mereka pikir harus
ditinjau dan area mana yang menjadi perhatian. Masukan ini harus sesuai dengan
hasil penilaian risiko objektif auditor untuk menentukan ruang lingkup audit.
Tentu, terkadang auditor tidak akan menggunakan input pelanggan. Misalnya,
terkadang pelanggan audit akan memperhatikan daerah yang lebih operasional dan
tidak memiliki dampak pengendalian internal. Dalam kasus tersebut, sangat sah
bagi tim audit untuk menjaga area tersebut tidak berada dalam lingkup audit,
dengan penjelasan kepada pelanggan mengapa tim audit tidak diposisikan untuk
melaksanakan permintaan tersebut. Penting juga untuk tidak membiarkan pelanggan
mengarahkan auditor menjauh dari meninjau area penting. Auditor akhirnya harus
menerapkan penilaian terbaik mereka. Namun, mendapatkan masukan dari pelanggan
dan memasukkannya ke dalam rencana audit jika memungkinkan membuat pelanggan
merasa memiliki kepemilikan dalam proyek audit dan mengoptimalkan komunikasi
terbuka dan jujur.
Daftar
Standar
Daftar periksa audit standar untuk
area yang sedang diperiksa adalah sering tersedia Daftar periksa di Bagian II
buku ini dapat menjadi awal yang baik titik untuk banyak audit Selain itu,
departemen audit mungkin memiliki daftar periksa sendiri untuk sistem dan
proses standar di perusahaan. Memiliki daftar periksa audit yang standar dan
berulang untuk area umum dapat memberikan awal yang berguna untuk banyak audit.
Daftar periksa tersebut, bagaimanapun, harus dievaluasi dan diubah seperlunya
untuk setiap audit tertentu. Memiliki daftar periksa standar tidak
menghilangkan persyaratan bagi auditor untuk melakukan penilaian risiko sebelum
setiap audit.
Penilitian
Setelah sumber daya ini
direferensikan, auditor harus melakukan ssessment terhadap risiko di area yang
akan ditinjau untuk mengidentifikasi langkah-langkah yang harus dilakukan
selama audit berlangsung. Konsep ini diilustrasikan di bagian "Kontrol
Internal" di awal bab ini. Seperti disebutkan, auditor harus memahami
tujuan bisnis dari area yang akan diaudit, mempertimbangkan risiko terhadap
tujuan tersebut, dan kemudian mengidentifikasi pengendalian internal yang ada
yang mengurangi risiko tersebut. Jika sebuah proses sedang ditinjau, auditor
perlu menyusun proses itu sampai akhir dan memikirkan kemana hal itu dapat
dipecah. Jika sebuah sistem atau teknologi sedang ditinjau, auditor perlu
memikirkan risiko terhadap sistem atau teknologi yang berfungsi sebagaimana
dimaksud. Hasil dari latihan sebelumnya harus menjadi penentuan ruang lingkup
audit, termasuk menentukan dan mengkomunikasikan apa saja yang berada di luar
jangkauan dan menyusun daftar langkah-langkah yang harus dilakukan untuk
mencapai cakupan tersebut. Langkah-langkah ini harus didokumentasikan dengan
rincian yang cukup untuk memungkinkan auditor melakukan audit untuk memahami
risiko yang ditangani oleh setiap langkah. Ini membantu menghindari pemeriksaan
"checklist", di mana tim audit secara mekanis menjalankan daftar
langkah audit, dan sebaliknya menempatkan fokus untuk memastikan bahwa
risikonya ditangani, dengan langkah-langkah audit hanya berfungsi sebagai
pedoman. Penting juga agar Anda mendokumentasikan langkah-langkah audit
sehingga dapat berulang dan mudah digunakan oleh orang berikutnya yang
melakukan audit serupa, sehingga berfungsi sebagai alat pelatihan dan
memungkinkan pelaksanaan audit ulang yang lebih efisien. Salah satu cara untuk
mencapai tujuan ini. adalah melengkapi setiap langkah audit dengan rincian
terdokumentasi mengenai mengapa langkah audit tersebut dilakukan (yaitu, risiko
ditangani) beserta bagaimana hal itu dapat dilakukan. Langkah-langkah audit
pada Bagian II buku ini mengikuti format ini dan dapat digunakan sebagai
pedoman.
Penjadwalan
Elemen penting dari proses perencanaan
adalah penjadwalan audit (yaitu menentukan kapan audit akan berlangsung).
Daripada mendikte kapan audit akan terjadi semata-mata berdasarkan kenyamanan
tim audit, maka penjadwalan audit harus dilakukan bekerjasama dengan nasabah
audit. Ini akan memungkinkan tim audit untuk melakukannya pertimbangkan absensi
personil dan waktu aktivitas tinggi, di mana tim audit mungkin tidak bisa
mendapatkan waktu dan perhatian yang tepat dari organisasi mereka audit Audit
penjadwalan bekerja sama dengan pelanggan audit tidak hanya memungkinkan untuk
audit yang lebih efektif, tapi juga memulai audit off di kaki kanan, menetapkan
suasana fleksibilitas dan kerja sama. Pelanggan audit akan menghargai kenyataan
tersebut bahwa kendala dan jadwal mereka dipertimbangkan dan akan memiliki rasa
saling kepemilikan atas jadwal.
A. TEKNIK
AUDIT
Auditing Entity-Level 3
Kontrol
Langkah Uji untuk Audit Entity-Level Controls
· Tinjau struktur organisasi TI secara keseluruhan untuk memastikannya menyediakan penugasan wewenang dan tanggung jawab yang jelas atas operasi TI dan menyediakan segregasi tugas yang memadai.
Struktur organisasi TI yang kurang jelas dapat menyebabkan kebingungan mengenai tanggung jawab, sehingga fungsi pendukung TI dapat dilakukan secara tidak efisien atau tidak efektif. Misalnya, fungsi kritis mungkin terbengkalai atau dilakukan secara berlebihan.
Juga, jika garis wewenang tidak jelas, maka dapat menyebabkan ketidaksepakatan sebagai kepada siapa yang memiliki kemampuan tertinggi untuk membuat keputusan akhir. Akhirnya, jika tugas IT tidak dipisahkan secara tepat, bisa mengakibatkan aktivitas penipuan dan mempengaruhi integritas informasi dan proses perusahaan.
· Tinjau proses perencanaan strategis TI dan pastikan itu selaras dengan strategi bisnis. Evaluasi organisasi TI proses untuk memantau kemajuan terhadap rencana strategis.
Untuk memberikan efektivitas jangka panjang, organisasi TI harus memiliki semacam strategi tentang di mana ia berencana untuk pergi, sebagai lawan untuk berada dalam mode reaktif terus-menerus, dimana isu dan krisis sehari-hari adalah satu-satunya pertimbangan. Organisasi IT Harus sadar akan kebutuhan bisnis dan perubahan lingkungan yang akan datang dapat merencanakan dan bereaksi sesuai dengan itu. Penting agar prioritas TI selaras dengan bisnis prioritas. Terlalu banyak organisasi IT melupakan fakta bahwa satu-satunya alasan mereka Keberadaannya adalah untuk mendukung perusahaan dalam memenuhi tujuan bisnisnya. Sebagai gantinya, IT ini organisasi fokus untuk menjadi "toko TI kelas dunia", bahkan saat tujuan ini tidak secara langsung mendukung keseluruhan tujuan perusahaan. Sangat penting bagi organisasi TI untuk tinggal berdasarkan tujuan mereka untuk mencapai tujuan perusahaan.
· Tentukan apakah teknologi dan strategi aplikasi dan roadmap ada, dan mengevaluasi proses untuk teknis jarak jauh perencanaan
TI adalah lingkungan yang berubah dengan cepat, dan penting bagi organisasi TI untuk mengerti dan merencanakan perubahan. Jika tidak, lingkungan TI perusahaan berisiko menjadi usang dan / atau tidak sepenuhnya memanfaatkan teknologi untuk menguntungkan perusahaan.
TEKNIK AUDIT WEB SERVER DAN APLIKASI WEB
Web Auditing Essentials
Laporan Insiden Data Pelanggaran Data
Verizon 2010 mengidentifikasi web sebagai yang paling umum vektor serangan
untuk pelanggaran perusahaan yang sukses, terhitung 54 persen dari keseluruhan
serangan. Serangan web ini selanjutnya menyumbang 92 persen dari semua rekaman
yang dikompromikan di semua kategori serangan Web server adalah target umum.
Mereka sulit dilakukan dengan benar aman, dan mereka sering mengandung rahasia
perusahaan, informasi pribadi, atau pemegang kartu data.
Ingat bahwa audit, sebanyak yang ingin
kita percayai sebaliknya, bukanlah sebuah sains
yang tepat, dan audit server web adalah salah satu area di mana hal ini
terlihat. Prosedur audit dalam bab ini mencoba menggunakan subset dari alat dan
teknologi yang tersedia untuk mengidentifikasi risiko umum di sistem atau
proses di sekitar sistem. Ada puluhan alat dan sumber daya yang tersedia untuk
membantu Anda dalam melakukan audit aplikasi spesifik Anda yang lebih kuat.
Hindari menjadi tidak efektif karena Anda berusaha menutupi terlalu banyak
dengan terlalu sedikit sumber daya dan pengetahuan. Sebagai kata peringatan
terakhir, langkah-langkah berikut harus dianggap sebagai titik awal audit Anda.
Alat pengujian penetrasi aplikasi web harus digunakan bersamaan dengan
pelatihan yang tepat. Kontrol berlapis tambahan, seperti Web Application
Firewall (WAF), sangat disarankan.
Satu Audit dengan Beberapa Komponen
Audit web yang lengkap benar-benar
merupakan audit terhadap tiga komponen utama, termasuk sistem operasi server, server web, dan
aplikasi web.
Komponen tambahan seperti database
pendukung atau infrastruktur jaringan yang relevan mungkin juga sesuai untuk
dipertimbangkan sebagai bagian dari audit Anda. Komponen pertama yang kami
diskusikan adalah platform atau sistem operasi yang mendasari server dan
aplikasi web yang terpasang dan beroperasi. Selanjutnya adalah web server itu
sendiri, seperti Internet Information Services (IIS) atau Apache, yang digunakan
untuk meng-host aplikasi web. Akhirnya, kami meliput audit aplikasi web.
Aplikasi web untuk tujuan kita mencakup kerangka kerja pengembangan terkait
seperti ASP.NET, Java, Python, atau PHP dan sistem pengelolaan konten yang
sesuai (CMS) seperti Drupal, Joomla, atau WordPress.
Kesulitan utama dalam meninjau
aplikasi web berkaitan dengan jumlah komponen interaksi yang mungkin ada yang
ada dalam kerangka situs web. Volume dapat ditulis tentang setiap server web
dan kerangka aplikasi web yang ada dan pengaturan masing-masing untuk
masing-masing. Kami akan membahas konsep, menunjukkan beberapa contoh, dan
menyerahkannya kepada Anda untuk memahami bagaimana menerapkan konsep ke
situasi unik Anda. Banyak bahasa dan struktur tersedia untuk pengembangan aplikasi
web, yang mempersulit proses audit. Namun, beberapa alat dan metode juga
tersedia untuk membantu kita menentukan apa yang perlu diperhatikan.
Masalah Kunci Komponen Audit Web
·
Platform
Web Keamanan sistem operasi, perlindungan fisik dan jaringan ke tuan rumah
·
Server
Web Pengaturan default, kode contoh, misconfigurations umum, logging.
·
Web
application Development framework pengaturan keamanan, aplikasi default
pengaturan, validasi masukan, salah melayani data, akses ke data rahasia
perusahaan, misconfigurations umum.
Bagian 1: Langkah Uji
untuk Mengaudit Host
Sistem operasi
Audit sistem operasi host harus
dilakukan bersamaan dengan audit web server dan aplikasi web (s).
Bagian 2: Langkah Uji untuk Mengaudit
Server Web
Setiap langkah mungkin atau mungkin
tidak berlaku untuk server web Anda, namun Anda perlu meluangkan waktu untuk
melakukannya.
Alat dan Teknologi
Ada beberapa alasan mengapa produk
otomatis gagal mengaudit semua komponen server web Anda, namun bukan berarti
produk ini harus diabaikan. Review kode sebenarnya bisa berjalan sangat cepat
untuk coders berpengalaman, tapi ini tergantung pada banyak variabel. Misalnya,
bagaimana berpengalaman adalah coder? Seberapa baik resensi memahami aplikasi
web? Seberapa baik resensi memahami konstruksi bahasa pemrograman yang
digunakan untuk aplikasi? Seberapa kompleks aplikasi itu? Antarmuka eksternal
apa yang ada, dan seberapa baik peninjau memahami antarmuka eksternal ini? Jika
Anda tinggal dan bermain di dunia ini, ulasan kode mungkin mudah bagi Anda.
Jika Anda tinggal dan bermain di banyak dunia, Anda mungkin ingin
mempertimbangkan untuk menambah pencarian Anda dengan alat otomatis, terutama
jika Anda tidak memiliki anggaran untuk mendapatkan bantuan yang Anda tahu yang
Anda butuhkan. Bagian dari perbedaan antara insinyur yang baik dan insinyur
hebat adalah akal. Hanya karena Anda tidak punya uang tidak berarti Anda tidak
bisa memanfaatkannya alat dan komunitas di sekitar Anda
B. Regulasi
Komunitas bisnis global terus
mendukung peraturan dan undang-undang baru yang berlaku mempengaruhi dan
meningkatkan tanggung jawab perusahaan untuk pengendalian internal. Bab ini mengulas
pengembangan peraturan yang terkait dengan pengendalian internal sehubungan
dengan penggunaan informasi dan teknologi. Secara khusus, bab ini membahas hal
berikut:
·
Pengantar
undang-undang yang terkait dengan pengendalian internal
·
The
Sarbanes-Oxley Act of 2002
·
The Gramm-Leach-Bliley Act
·
Peraturan
privasi seperti California SB1386
·
Undang-Undang
Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996
·
Komisi
UE dan Basel II
·
Standar
Keamanan Data Kartu Pembayaran (PCI)
·
Tren
peraturan lainnya
Pengantar
Legislasi Terkait dengan Kontrol Internal
Sifat global bisnis dan teknologi
mendorong kebutuhan akan standar dan peraturan yang mengatur bagaimana
perusahaan bekerja sama dan bagaimana informasi dibagi. Kemitraan strategis dan
kolaboratif telah berevolusi dengan badan-badan seperti International
Organization of Standardization (ISO), International Electrotechnical
Commission (IEC), International Telecommunication Union (ITU), dan Organisasi
Perdagangan Dunia (WTO). Partisipasi dalam badan standar ini bersifat sukarela,
dengan tujuan bersama untuk mempromosikan perdagangan global untuk semua
negara. Masing-masing negara telah melangkah lebih jauh untuk membentuk kontrol
pemerintah atas aktivitas bisnis perusahaan beroperasi di dalam batas-batas
mereka.
Motivasi
untuk pembuatan dan adopsi legislasi jauh lebih kompleks dari yang terlihat.
Kepentingan nasional, perhatian industri, dan corporate jockeying membuat supir
politik yang kuat. Politik bisa memiliki konotasi negatif, namun dalam konteks
ini, "Politik" hanya mengacu pada pemahaman bahwa peraturan umumnya
menguntungkan atau melindungi sekelompok orang yang representatif. Bangsa,
industri, dan perusahaan memiliki kekhawatiran tentang kerahasiaan, integritas,
dan ketersediaan informasinya. Standar dan Perundang-undangan adalah dua metode
yang memastikan kekhawatiran ini terpenuhi.
Dampak
Regulatory terhadap Audit TI
Peraturan dampak terhadap audit TI
berkembang seiring bisnis menyesuaikan diri dengan kompleksitas kepatuhan
terhadap beberapa otoritas. Selama dekade terakhir, pemerintah A.S. telah
melewati banyak tindakan privasi khusus industri dan peraturan lainnya.
Masing-masing telah disahkan dengan maksud melindungi konsumen bisnis.
Akibatnya, internal dan kelompok audit eksternal ditugaskan untuk meninjau
proses dan prosedur bisnis pastikan kontrol yang tepat ada yang melindungi
kepentingan bisnis dan konsumen.
Pertimbangkan
Rantai Nilai Porter yang ditunjukkan pada Gambar 17-1. Masing-masing komponen fungsional bisnis saat ini terus
menarik tuntutan kemitraan yang lebih tinggi pada organisasi TI untuk mendukung
proses bisnis. Hubungan saling terkait antara IT kontrol dan fungsi bisnis
pendukungnya telah menciptakan usaha yang besar dasi kontrol TI spesifik untuk
proses bisnis yang ada dan baru. Upaya tersebut dilakukan pembuat undang-undang
yang berusaha melindungi konsumen, layanan keuangan yang berusaha melindungi
aset mereka, membantu vendor mencoba menjual lebih banyak produk, dan bisnis
berusaha mematuhi persyaratan yang tampaknya berkembang dan tidak konsisten.
Asosiasi
Internasional Auditor Internal (IIA) dan Asosiasi Audit dan Pengawasan Sistem
Informasi Internasional (ISACA) menerbitkan panduan untuk membantu anggota
kelompok audit internal dan eksternal ini dalam membangun kontrol bersama dan proses
audit. Teknologi dapat mempengaruhi setiap bagian bisnis. Dengan tekad,
terkendali, dan efisien, yang terbaik, teknologi menawarkan keunggulan
kompetitif. Yang terburuk, Teknologi adalah keunggulan pesaing Anda saat Anda
tidak memiliki aktivitas dan proses yang sesuai untuk memastikan tata kelola,
manajemen risiko, atau kepatuhan pengelolaan teknologi dan organisasi.
Sejarah
Peraturan Keuangan Perusahaan
Pada tahun 1970an, perhatian terhadap
pengendalian internal terkait dengan pelaporan keuangan mulai dilakukan
terbentuk sebagai akibat dari pertumbuhan kebangkrutan dan keruntuhan keuangan
seperti Penn Central Railroad pada tahun 1970, kebangkrutan terbesar dalam
sejarah A.S. pada saat itu waktu. Pada tahun 1976, sebuah investigasi kongres
oleh komite Moss dan Metcalf merekomendasikan peraturan federal yang meningkat
di bidang akuntansi dan auditing. Di 1977, Foreign Corrupt Practices Act
membuat sogokan perusahaan ilegal dan wajib untuk menyimpan catatan transaksi
yang ekstensif untuk tujuan pengungkapan.
Menjelang
pertengahan 1980an, industri simpan pinjam telah ambruk. Kongres melihat apakah
pemerintah harus mengambil alih penerbitan standar akuntansi dan pengawasan
auditor Pada tahun 1986, Komite Sponsoring Organizations (COSO) memeriksa
bagaimana manajemen keuangan yang curang dapat dibatasi dan bagaimana auditor
dapat mengurangi kesenjangan yang diketahui antara apa yang auditor lakukan dan
apa yang diharapkan publik. COSO menerbitkan panduan formal untuk pengendalian
internal yang dikenal sebagai Kerangka Kerja Integrasi Internal-Kontrol,
dijelaskan lebih rinci pada Bab 16. Industri sukarela ini dimaksudkan untuk
membantu perusahaan publik melakukan selfregulating dan dengan demikian
menghindari kebutuhan akan peraturan pemerintah.
Pada tahun
1991, Federal Deposit Insurance Corporation Improvement Act (FDICIA)
diberlakukan untuk industri perbankan sebagai respon terhadap keruntuhan
tabungan dan pinjaman. Ini memperkenalkan akuntabilitas manajemen atas dengan
menggunakan tanda-tanda.
Namun,
ketika Enron dan perusahaan besar lainnya gagal pada tahun 2001 dan 2002,
Pemerintah A.S. bergerak cepat untuk menerapkan reformasi korporat yang paling
luas dalam upaya memulihkan kepercayaan publik terhadap operasi bisnis A.S.
Sarbanes-Oxley Act tahun 2002 dan revisi berikutnya memiliki dampak luas
terhadap semua perusahaan (asing dan domestik) yang melakukan bisnis dengan
Amerika Serikat dan pada kelompok teknologi yang mendukung bisnis tersebut. Bab
ini akan merangkum dampak Sarbanes-Oxley dan peraturan pemerintah dan industri
lainnya yang berlaku di departemen layanan informasi.
The Sarbanes-Oxley Act of
2002
Undang-undang Sarbanes-Oxley (SOX)
tahun 2002 (yang secara formal dikenal sebagai Akuntan Publik dan Undang-Undang
Perlindungan Investor) merupakan tanggapan dari pemerintah AS terhadap ruam
skandal korporat yang terkenal yang dimulai dengan Enron dan Arthur Andersen,
diikuti oleh Tyco , Adelphia Communications, WorldCom, HealthSouth, dan banyak
lainnya.
Sarbanes-Oxley
Act dan Dewan Pengawas Akuntansi Perusahaan Publik (PCAOB) diciptakan untuk
memulihkan kepercayaan investor di pasar umum A.S. Tujuan utamanya adalah untuk
meningkatkan tanggung jawab perusahaan, meningkatkan pengungkapan keuangan, dan
mencegah kecurangan perusahaan dan akuntansi. Dengan demikian, kontrol yang
diperlukan untuk kepatuhan terhadap fokus SOX pada kontrol kunci penting untuk
memastikan kerahasiaan, integritas, dan ketersediaan data keuangan.
Gramm-Leach-Bliley Act
Judul resmi undang-undang ini adalah
Undang-Undang Modernisasi Jasa Keuangan. Tindakannya, yang lebih dikenal dengan
Gramm-Leach-Bliley Act (GLBA), diarahkan terutama untuk memungkinkan fungsi dan
hubungan yang diperluas di antara institusi keuangan. Undang-undang tersebut
mencakup bagaimana dan dalam keadaan apa perusahaan induk bank dapat melakukan
afiliasi baru dan terlibat dalam kegiatan yang sebelumnya dibatasi.
Peraturan
privasi
Meringkas karya bagus yang dilakukan
oleh Thomas Karol dalam Panduan untuk Penilaian Dampak Privasi Cross-Border,
informasi pribadi pernah dipandang sebagai konten bisnis eksklusif dengan
sedikit memperhatikan hak pribadi individu yang informasi yang dimiliki
perusahaan. Organisasi pemerintah dan kelompok aktivis privasi telah bertugas
untuk menciptakan sejumlah undang-undang yang melindungi informasi pribadi.
Persyaratan nasional dan negara
mengatur bagaimana informasi kesehatan, keuangan, dan identitas pribadi dapat
digunakan dan disimpan. Sayangnya, berbagai kepentingan dan batasan kenyamanan
(kepentingan politik) telah menciptakan persyaratan yang berbeda, dan kurangnya
keseragaman memberikan tantangan terhadap penanganan informasi pribadi yang
sesuai.
Kunjungi
situs web di tip terlampir untuk menemukan sumber dokumen otoritas. Lakukan
pencarian untuk kata "privacy" dan mulailah melihat melalui belasan
hasil. Ini tidak secara meyakinkan menggambarkan setiap otoritas yang terkait
dengan privasi, namun ini menunjukkan sejumlah besar dokumen dan undang-undang
khusus privasi. Jika Anda menginginkan daftar dokumen otoritas yang menakjubkan
dan menakjubkan, temukan spreadsheet di unifiedcompliance.com, cari setiap
spreadsheet untuk kontrol khusus yang terkait dengan privasi, dan kemudian
kunjungi ID kontrol. Latihan ini akan lebih masuk akal saat Anda menemukan
spreadsheet dan mulai berjalan melewatinya.
Tabungan
dan Akuntabilitas Asuransi Kesehatan tahun 1996
Pada tahun 1996, Kongres A.S. melewati
Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA).
Tindakan tersebut mencakup dua bagian. Judul I memberikan jaminan kesehatan
setelah karyawan kehilangan pekerjaan. Judul II membahas tindakan administratif
yang dimaksudkan untuk menyederhanakan dan membakukan informasi kesehatan.
Komponen IT dari Judul II menangani keamanan dan penanganan informasi kesehatan
di era elektronik. Ketika topik HIPAA muncul, terutama di kalangan staf TI,
implikasi dari bagian ini paling lazim.
Komponen TI
dari tindakan tersebut meresepkan metodologi standar untuk keamanan.
Selanjutnya, format standarisasi HIPAA untuk informasi terkait kesehatan.
Standar tersebut mencakup metode yang memastikan kerahasiaan dan integritas
data pasien untuk setiap informasi yang dapat dikaitkan dengan pasien
individual.
Komponen
tindakan yang paling sering diidentifikasi adalah kumpulan data yang secara
kolektif dikenal sebagai Informasi Kesehatan Terlindungi (PHI) atau Informasi
Kesehatan Pelindung Elektronik (EPHI) yang mencakup Informasi Kesehatan
Identifikasi Individu (IIHI). IIHI berkaitan dengan kondisi medis seseorang,
perawatan, atau pembayaran untuk perawatan. Setiap entitas yang mengelola dan
menggunakan PHI individual dapat dikenai tindakan. Lingkup efektif HIPAA
mencakup entitas dari rumah sakit, asuransi, dokter (semua jenis),
laboratorium, dan perusahaan yang beroperasi atau berpartisipasi dalam rencana
kesehatan. Organisasi yang terkena dampak HIPAA dirujuk oleh undang-undang
tersebut sebagai entitas yang tercakup.
Tren
Peraturan Lainnya
Seiring komputer berkembang biak pada
masa kejayaan tahun 1980an dan 1990an, kontrol internal atas TI gagal
mengimbangi arsitektur infrastruktur yang berubah dengan cepat. Namun, tindakan
keras terhadap pengendalian internal yang dimulai atas pelaporan keuangan telah
diperluas untuk mencakup TI, dan memang seharusnya demikian.
Kini, selain
SOX, GLBA, California SB 1386, HIPAA, dan peraturan lainnya, persyaratan lebih
lanjut akan datang Dengan pencurian identitas yang mendekati proporsi krisis,
perlindungan data dan privasi merupakan topik yang sangat mendesak bagi
legislator.
Meningkatnya
persyaratan peraturan meningkatkan kesadaran di kalangan manajemen perusahaan
senior. Keamanan informasi mendapatkan visibilitas yang semakin serius.
Sebagian besar perusahaan sekarang menyadari bahwa mereka sebelumnya hanya
memiliki sedikit pemahaman tentang eksposur mereka dan mengakui bahwa mereka
perlu melakukan upaya sadar untuk mengidentifikasi risiko mereka dan mengambil
langkah-langkah yang semakin pasti untuk mengatasinya.
A. Standar
dan Kerangka Kerja Audit
Seiring teknologi informasi standar
(I) jatuh tempo pada akhir abad ke-20, departemen TI di dalam setiap organisasi
biasanya mengembangkan metode sendiri untuk mengelola operasi. Akhirnya,
kerangka kerja dan standar muncul untuk memberikan panduan bagi manajemen dan
evaluasi proses TI. Dalam bab ini kita akan melihat beberapa kerangka kerja dan
standar paling menonjol saat ini yang berkaitan dengan penggunaan teknologi.
Pembahasan kami akan mencakup hal-hal berikut:
·
Pengantar
pengendalian internal, kerangka kerja, dan standar
·
Komite
Kompensasi Organisasi Cadangan (COSO)
·
Tujuan
Pengendalian untuk Informasi dan Teknologi Terkait (COBIT)
·
IT
Infrastructure Library (ITIL)
·
ISO
27001
·
Metodologi
Penilaian Badan Keamanan Nasional (NSA)
·
Gaya
Standar dan Kerangka Kerja Audit
Pengantar
Kontrol, Kerangka, dan Standar TI Internal
Pada 1970-an, kekhawatiran akan
meningkatnya kebangkrutan perusahaan dan keruntuhan keuangan mulai meningkatkan
permintaan akan pertanggungjawaban dan transparansi di antara perusahaan
publik. Foreign Cornupt Practices Act of 1977 (FCPA) mengkriminalisasi
penyuapan di luar negeri dan merupakan peraturan pertama yang mengharuskan
perusahaan untuk menerapkan program pengendalian internal untuk menyimpan
catatan transaksi yang ekstensif untuk tujuan pengungkapan.
Ketika
industri simpan pinjam ambruk pada pertengahan tahun 1980an, ada seruan untuk
mengawasi standar akuntansi dan profesi auditing pemerintah. Dalam upaya untuk
mencegah intervensi pemerintah, inisiatif sektor swasta independen, yang
kemudian disebut Komite Sponsoring Organizations (COSO), dimulai pada tahun
1985 untuk menilai bagaimana cara terbaik untuk meningkatkan kualitas pelaporan
keuangan. COSO meresmikan konsep pengendalian internal dan kerangka kerja pada
tahun 1992 saat menerbitkan publikasi penting Kerangka Pengendalian Internal.
Sejak saat
itu, asosiasi profesional lainnya terus mengembangkan kerangka kerja dan
standar tambahan untuk memberikan panduan dan praktik terbaik kepada konstituen
mereka dan komunitas TI secara umum. Bagian berikut menyoroti COSO dan beberapa
kerangka kerja dan standar TI paling menonjol yang digunakan saat ini.
Gaya
standard dan Kerangka Kerja
Persyaratan dan praktik bisnis sangat
bervariasi di seluruh dunia, seperti juga kepentingan politik dari banyak
organisasi yang menciptakan standar. Kemungkinan besar kerangka kerja dan
standar tunggal akan muncul dalam waktu dekat untuk memenuhi kebutuhan setiap
orang. Kompleksitas pemetaan ratusan dokumen otoritas dari peraturan
(internasional, nasional, lokal / negara bagian, dan sebagainya) dan standar
(ISO, industri spesifik, vendor, dan sebagainya) menciptakan peluang dan ceruk
pasar. Vendor teknologi dengan tepat mengidentifikasi ceruk pasar yang penting
ini, atau pembeda, untuk meningkatkan penjualan produk dengan mengidentifikasi
bagaimana cara mendapatkan produk mereka untuk memenuhi persyaratan otoritas.
Vendor melompat pada kesempatan untuk memetakan kemampuan mereka untuk
menangani kontrol spesifik dari beberapa peraturan dan standar.
Jaringan
Frontiers mungkin adalah perusahaan yang paling terkenal yang mencoba hal yang
tidak mungkin: membuat pemetaan umum kontrol TI di setiap peraturan, standar,
dan praktik terbaik yang ada. Hasilnya disebut IT Unified Compliance Kerangka,
dan bisa ditemukan di www.unifiedcompliance.com. Selanjutnya, ini pemetaan
diadopsi oleh Archer Technologies, Microsoft, Computer Associates, McAfee, dan
beberapa vendor lainnya untuk membantu menjembatani penyelarasan kontrol yang
dikelola atau dilacak oleh vendor dengan persyaratan dokumen otoritas
individual.
Satu sudut
pandang menunjukkan kerangka adopsi tunggal akan menyederhanakan teknologi
pengembangan produk, struktur organisasi, dan tujuan pengendalian. Yang lain
sudut pandang menunjukkan bahwa kompleksitas kepentingan regional, politik,
bisnis, budaya, dan kepentingan yang berbeda memastikan kerangka kontrol yang
diterima secara universal tidak akan pernah tercipta. Kebenaran mungkin
terletak di suatu tempat di tengahnya. Meskipun satu set standar internasional
tidak dapat dipastikan, alat yang dijelaskan dalam bab ini tetap berfungsi
untuk menciptakan infrastruktur teknologi yang andal, aman, dan berkelanjutan
yang pada akhirnya menguntungkan para peserta.
B.
Manajemen Resiko
Beberapa tahun yang lalu, firewall dan
perangkat lunak antivirus adalah sebagian besar organisasi digunakan untuk
mengurangi risiko TI. Namun, dalam beberapa tahun terakhir, lanskap ancaman
telah berubah sangat. Saat ini, ancaman orang dalam lebih terasa, ribuan
variannya malware didistribusikan, dan pemerintah telah memberlakukan
undang-undang yang mewajibkan implementasi berbagai kontrol. Akibatnya, proses
manajemen risiko formal sekarang harus menjadi bagian dari setiap program audit
TI. Pertanyaan juta dolar hari ini adalah: Apa itu program manajemen risiko
formal? Didalam Bab kita akan mengeksplorasi proses analisis risiko, siklus
manajemen risiko, dan metode untuk mengidentifikasi dan menangani risiko secara
efektif. Pada akhir bab ini adalah ringkasan dari rumus yang kita gunakan dalam
teks.
Manfaat
Manajemen Risiko
Potensi pengelolaan risiko TI masih
dirahasiakan. Beberapa tahun, banyak organisasi telah meningkatkan efektivitas
pengendalian TI mereka atau mengurangi biaya mereka dengan menggunakan analisis
risiko dan praktik manajemen risiko yang baik. Ketika manajemen memiliki
pandangan perwakilan tentang eksposur TI organisasi, ia dapat melakukannya
mengarahkan sumber daya yang tepat untuk mengurangi area risiko tertinggi
daripada pengeluaran sumber daya langka di daerah yang memberikan sedikit atau
tidak ada pengembalian investasi (ROI). Jaring Hasilnya adalah tingkat
pengurangan risiko yang lebih tinggi untuk setiap dolar yang dikeluarkan.
Manajemen
Risiko dari Perspektif Eksekutif
Bisnis adalah semua tentang risiko dan
penghargaan. Eksekutif diharuskan menimbang manfaat investasi dengan risiko
yang terkait dengannya. Akibatnya, sebagian besar telah menjadi cukup mahir
mengukur risiko melalui analisis ROI, indikator kinerja utama, dan segudang
alat analisis keuangan dan operasional lainnya. Sukses dalam mengelola. Risiko
TI organisasi, Anda harus memahami bahwa eksekutif melihat risiko finansial
istilah. Akibatnya, semacam analisis keuangan biasanya diperlukan untuk
berbisnis kasus untuk investasi di kontrol tambahan.
Mengatasi
Resiko
Resiko dapat diatasi dengan tiga cara:
menerimanya, mengurangi, atau mentransfernya. Yang sepantasnya metode
sepenuhnya tergantung pada nilai finansial dari risiko versus investasi diperlukan
untuk menguranginya ke tingkat yang dapat diterima atau mentransfernya ke pihak
ketiga. Sebagai tambahannya Kontrol preskriptif, peraturan seperti HIPAA /
HITECH dan PCI mengharuskan organisasi tersebut menilai risiko terhadap
informasi yang dilindungi dan menerapkan pengendalian yang wajar mengurangi
risiko ke tingkat yang dapat diterima.
Penerimaan
Risiko
Nilai finansial suatu risiko
seringkali lebih kecil daripada biaya mitigasi atau transfer. Dalam hal ini,
pilihan yang paling masuk akal adalah menerima risiko. Namun, jika organisasi memilih untuk menerima risiko, itu
harus menunjukkan bahwa risiko memang dinilai dan mendokumentasikan alasan di balik keputusan tersebut.
Transfer
Resiko
Industri asuransi didasarkan pada
transferensi risiko. Organisasi sering membeli asuransi untuk menutupi biaya pelanggaran keamanan atau bencana sistem
outage. Ini penting untuk perhatikan
bahwa perusahaan asuransi yang menawarkan jenis kebijakan ini sering mewajibkan
kebijakan tersebut pemegang
menerapkan kontrol tertentu. Gagal mematuhi persyaratan control dapat membatalkan kebijakan Bila pengelolaan sistem TI dialihkan
ke pihak ketiga, tingkat tertentu risiko
dapat ditransfer secara kontrak ke pihak ketiga juga. Dalam kasus ini, itu
adalah tanggung jawab organisasi
meng-outsource sistemnya untuk memverifikasi bahwa risiko TI berkurang ke tingkat yang dapat diterima dan
bahwa perusahaan yang mengelola sistemnya memiliki keuangan Kekuatan untuk menutupi kerugian harus terjadi.
Analisis
Risiko Kuantitatif vs Kualitatif
Risiko dapat dianalisis dengan dua
cara: kuantitatif dan kualitatif. Seperti hal lainnya, masing memiliki kelebihan dan kekurangan. Dimana pendekatan
kuantitatif lebih banyak obyektif
dan mengungkapkan risiko secara finansial sehingga pengambil keputusan bisa
lebih mudah membenarkan, juga lebih
menyita waktu. Pendekatan kualitatif lebih cocok untuk ditampilkan pandangan berlapis risiko, tapi bisa
lebih subjektif dan karena itu sulit untuk dibuktikan.
Organisasi
dengan program manajemen risiko yang lebih sukses cenderung mengandalkan lebih banyak pada analisis risiko
kualitatif untuk mengidentifikasi area fokus dan kemudian menggunakan
kuantitatif teknik analisis risiko
untuk membenarkan pengeluaran mitigasi risiko.
